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pos portal que incluye la versión 
y web de coronapp_colombia 
- “| (coronaviruscolombia.gov.co) 





Este informe se basa en investigaciones que se hicieron en febrero del 2021 y que se 
volvieron a verificar en mayo 2021. Intentamos varias veces comunicarnos a través del 
MinTiC con la Presidencia, que aparece como encargada del sitio, pero no obtuvimos la 
reunión propuesta. Teniendo en cuenta que las vulnerabilidades no son severas y que de 
hecho las malas prácticas reportadas han sido previamente alertadas por el MinTIC en su 
documento sobre “Condiciones mínimas técnicas y de seguridad digital”, decidimos 
publicar este análisis. 


Contempla un análisis jurídico de la política de privacidad del sitio (parte 1) y un análisis 
técnico y no intrusivo de los formularios webs. Los resultados se presentan a través de dos 
tablas (partes 2 y 3 y anexos). 
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Este material circula bajo una licencia Creative Commons CC BY-SA 
4.0. Usted puede remezclar, retocar y crear a partir de obra, incluso 
con fines comerciales, siempre y cuando dé crédito al autor y licencie 
las nuevas creaciones bajo mismas condiciones. 

Para ver una copia de esta licencia visite: 


https: //creativecommons.ore/licenses/bv-sa/4.0/deed.es 
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1. Contexto y politica de tratamiento de la información 
1.1 Contexto 


El sitio web “coronaviruscolombia.gov.co” es un portal del gobierno colombiano que ofrece información 
y acceso a algunos servicios relacionados con el coronavirus en el país. El portal incluye, entre otros, la 
versión web de la aplicación CoronApp Colombia que Fundación Karisma ya ha analizado en varias de 
sus versiones! y un formulario de autodiagnóstico. Coronapp Colombia se hizo “disponible para web” 
para el que “tiene un número internacional o un celular antiguo”, de forma tal que pueda “obtener [su] 
código QR de viajero” como lo menciona el mismo sitio web?. Las finalidades expresadas en la política 
de privacidad del portal son las siguientes: 


“La PRESIDENCIA DE LA REPÚBLICA recolectará, usará y tratará los datos personales de manera 
leal y lícita para para obtener información estadistica, análisis de política pública, para poder 
emitir una respuesta por parte del Mecanismo de Comunicación Masiva, el despliegue de medidas 
de prevención y contención frente al COVID-19, especificamente para presentar recomendaciones 
a signos de alarma de afección respiratoria y riesgos en salud pública asociados al coronavirus 
COVID-19 y crear y mantener la base de datos de los usuarios del Mecanismo de Comunicación 
Masiva.”? 


El sitio web contiene: 


1 Información vinculada con el Covid-19: Acciones del Gobierno, Mitos y preguntas, Enlaces de 
interés, Lineas de atención, cifras, etc. 


2 Una pagina de registro y de conexión a CoronApp Colombia en su versión web”. 


3 Una página con un formulario de autodiagnóstico, que no necesita estar conectado a CoronApp 
Colombia ni ingresar datos personales que identifiquen a la persona directamente”. 


4 Un menú “Denuncia virtual” que re-dirige hacia la página de denuncia virtual de la Policia Na- 
cional. 


Esta última pagina, por ser un sitio externo, no hace parte de este análisis que se enfoca en los formularios 
de autodiagnóstico, de registro, de conexión y en las funcionalidades de la versión web de la CoronApp. 
Sin embargo nos preguntamos sobre la finalidad de este enlace en este contexto. 


1 Fundación Karisma ha realizado varios análisis y publicado varios artículos sobre CoronApp Colombia. Dentro de ellos se pueden 
mencionar el primer análisis técnico (https://web.karisma.org.co/wp-content/u load 2020/04/Informe- 2C3%Bablico- t%C3%A9CNicO- 
CoronApp-v170320-1-1.pdf), el análisis de la evolución de los permisos ( : 

cuando- bajara- esta-curva/) y el análisis de la versión de la aplicación para teléfonos ¡iPhone (https: //web.karisma.org.co/coronapp-en- 
1d . 








https: //coronaviruscolombia.gov.co/Covid19/coronApp/registro- coronA html 

Como por ejemplo, nombre, cédula o correo electrónico. 

pS a cr do Denunciavirtual. Alhacerclicenel,unoesdirigidoalsistemadedenunciavirtualdelapolicianacional 
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1.2 Política de privacidad / tratamiento de la información 


La Presidencia de la República aparece, en la política de tratamiento de datos de El Coronavirus en Co- 
lombia” como responsable de tratamiento de datos. Sin embargo, cuando uno se registra para CoronApp 
Colombia web, el sitio pide aceptar la política de tratamiento de datos de CoronApp ubicada en el sitio 
web del Instituto Nacional de Salud (INS) (al día de la publicación de este informe este enlace ya no fun- 
cionaé) y unos Términos y Condiciones en los cuales el INS aparece como responsable de tratamiento. La 
política de tratamiento de datos de El Coronavirus en Colombia está confeccionada a partir de fórmulas 
generales e incluso contradictorias. La Presidencia de la República como responsable del tratamiento de 
datos, cumple con el deber legal asociado a su publicación en tanto que recaba datos que identifican o 
hacen identificables a las personas. Sin embargo, no se trata de una política que aclare varios de los as- 
pectos sobre los que sería deseable tener claridad. Además parece que la parte de “CoronApp web” com- 
pite con la política de tratamiento de la información y los terminos y condiciones de CoronApp_Colombia 
sin aclaración que permita entender cuando se aplica la una o la otra sobre el suministro de los datos a 
terceras partes. 


No se advierte en la redacción de la política de privacidad los criterios (requisitos o situaciones) que son 
considerados por el responsable del tratamiento de la información y que habilitarian para el suministro 
o acceso de los datos personales por parte de terceros. No advierte limitaciones para su entrega a 
ciertas entidades públicas o entidades privadas. La fórmula para permitir acceso a entidades del sector 
público apunta, sin mayor contexto ni desarrollo, a la habilitación de toda autoridad que “en el ejercicio 
de sus funciones asi lo requieran”. 


No se precisan, ni se advierten los requisitos exigibles por parte de la Presidencia de la República a esos 
terceros para asegurar que aquellos cuentan a su vez, con políticas de tratamiento de datos que sean 
públicas, integrales, y que provean mecanismos de reclamo a las personas cuya información pueden 
llegar a tener en sus manos. 


Sobre la transferencia y transmisión internacional de datos personales 


Esta sección de la política de tratamiento de datos advierte que la Presidencia de la República deberá 
suscribir contratos con terceros cuando necesite enviar o transmitir datos “a uno o varios encargados 
ubicados fuera del territorio de la República de Colombia”. Sin embargo, no se advierte, en un 
proceso de contextualización de esa formula genérica consagrada en la política de tratamiento de 
datos que, en efecto, el sistema transfiere datos a terceras partes de carácter privado fuera del país 
tales como Amplitude, Amazon, Google o CloudFlare, ubicadas en Estados Unidos (ver partes 2 y 3). 


Recomendación: Sería conveniente que se describiera que el tratamiento de datos en El Coronavirus en 
Colombia actualmente incluye esa transferencia internacional, que debe constar en acuerdos que son 
anexos a la política y, por tanto, deberian ser públicos también. 





ds 10 Ver sección “transferencia y transmisión internacional de datos personales”. 
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Sobre terceros que obran como “encargados” del tratamiento de datos 


Utilizando fórmulas genéricas que no dan contexto concreto a El Coronavirus en Colombia, la Presidencia 
de la República contempla la posibilidad de que el tratamiento de datos pueda ocurrir a través de una 
tercera parte en el rol de “encargada del tratamiento”. Sin embargo, no se describen quiénes pueden ser 
esas partes que obrarian como encargadas, cuáles son los propósitos que cumplirian en la cadena de 
intermediación del tratamiento de los datos, cuáles los deberes que tendrían esas partes a cargo, y qué 
derechos tiene la persona titular del dato en relación con éstas. 


Del analisis realizado, parece que el Instituto Nacional de Salud y la Agencia Nacional Digital obran como 
encargados para Coronapp web (ver parte 3) y que la empresa “Idoc3” obra como encargada para la 
funcionalidad de autodiagnóstico (ver parte 2), 


Recomendación: La política de protección de datos debe ocuparse de estos terceros que desde el diseño 
de la aplicación parecen ser los “encargados” del tratamiento de datos y en ese contexto, los contratos 
deberían ser parte de esta política y hacerse públicos para conocimiento de las personas cuyos datos 
serán tratados por las empresas. 


Sobre la obligatoriedad en el uso de CoronApp web 


La política de tratamiento de datos es contradictoria al afirmar que la entrega de datos sensibles asociados 
a la salud de las personas - que la Ley 1581 de 2012 considera como sensibles - no es obligatoria”, al 
tiempo que reitera que el principio de libertad que sustenta el ejercicio de la autonomía de la voluntad 
y que faculta a la persona a la entrega o no de los datos personales y, sin embargo, agrega que esto “no 
aplica en el caso de la CoronApp Colombia por mandato del artículo 10 de la ley 1581 de 2012”. 


Muy a pesar del debate que pueda existir en torno a la aplicación conveniente del texto del artículo 10 de 
la Ley 1581 de 2012 y que ha sido también objeto de discusión en relación con la política de tratamiento 
de datos de la aplicación móvil de CoronApp, es importante poner de presente que a dicha obligación 
que busca limitar el ejercicio del derecho fundamental al habeas data, no se encuentra aparejado un 
ejercicio que presente al titular del dato las razones por las que, de manera proporcional y necesaria, su 
consentimiento no cuenta a la hora de usar CoronApp web. 


Recomendación: Si se va a aplicar el artículo 10 de la Ley 1581 de 2012 se debe describir la justificación 
en la política de tratamiento de datos de manera clara en tanto que no existe mandato legal que obligue 
al uso de este tipo de tecnologías o herramientas. 


Sobre la anonimización de los datos 


Se preve por la política que, una vez recolectados los datos “por regla general se utilizarán herramientas de 
anonimizarían (sic) para que no esté asociada o vinculada a una persona en particular”. Y advierte además, 
que dicha regla general de anonimización podrá ser exceptuada “cuando [sea] rigurosamente necesario 
conocer la identidad del titular del dato”. En la política de tratamiento de información de CoronApp_web 


11 Ver sección “de la no obligatoriedad de suministrar datos sensibles relativos a la salud y de la responsabilidad reforzada”. 
12 Ver sección “principios relacionados con la recolección de datos personales”. 
13 Ver sección “datos anonimizados”. 5 
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hay una formulación similar”. 


Además, los analisis que hemos hecho muestran que al menos los datos de la parte “conectada” de 
Coronapp Web, siendo asociada a los datos de registro (nombre, apellidos, tipo y número de documento, 
número de celular, correo electrónico), no son anónimos. Es decir, ya desde el inicio la regla se rompe con- 
firmando que la ausencia de los criterios mencionados disminuyen la protección de manera injustificada. 


Recomendación: Se deben describir los criterios del “rigurosamente necesario” que puede derivar en la 
desanonimización de los datos personales e indicar en esos casos cómo se protegen o mitigan los efec- 
tos nocivos para los derechos de las personas usuarias. Se debe revisar por qué la propia recolección de 
datos está haciéndose de forma desanonimizada e implementar los correctivos necesarios. 


Sobre el acceso a la localización 


Cuando uno llega en sitio web, el navegador pide el permiso para que el sitio pueda acceder a la ubicación: 


$ ¿Va a permitir a coronaviruscolombia.gov.co 
“acceder a su ubicación? 
nal 


Saber más 





Recordar esta decisión 


No permitir Permitir acceso a ubicación 





Sin embargo, la política de privacidad del portal no menciona la finalidad de este acceso. 
Recomendación: informar al usuario de la finalidad del acceso a la ubicación 


Sobre la seguridad de la información 

La política de tratamiento señala que cuenta con una política de seguridad y cita el enlace a la política 
de tratamiento de datos. Es decir, se cita a sí misma y en su texto, en todo caso, no desarrolla las accio- 
nes de mitigación de fuga de datos que serian emprendidas cuando sucedan brechas de seguridad de 
la información. 

Recomendación: Siguiendo buenas prácticas internacionales se debería establecer que las perso- 
nas serán notificadas cuando la seguridad de sus datos sea comprometida. Se deberian describir 
las acciones que se emprenderán por la parte responsable del tratamiento incluyendo el cumpli- 
miento de las obligaciones de cara a la autoridad de protección de datos. Se debe informar sobre 
quién se encarga de revisar, evaluar y mejorar15 las condiciones de seguridad de la información que 
se recolecta a traves de El Coronavirus en Colombia y para sus componentes como CoronApp web. 


14 Ver paginas 8 y 9 de la política, parte “Datos anonimizados”. 
6 15 Ver sección “medidas de seguridad aplicadas al tratamiento de datos personales”. 
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2 Tabla sintética del formulario de autodiagnóstico 


Categoría Descripción 
URL https: //coronaviruscolombia.gov.co/Covid19/auto-diagnostico.html 


Datos recolectados Esta página permite hacer un auto-diagnóstico de riesgos de haber contraido el COVID-19. 
El formulario no necesita entregar datos personales que identifiquen directamente a la 
persona usuaria (cómo nombre, cédula, etc.). Sin embargo se recolectan datos sensibles 
relativos a los sintomas susceptibles de indicar una infección con COVID-19 y a los contac- 
tos eventuales de la persona con otras infectadas, y el analisis mostró que estos datos se 
transmiten asociados a varios identificadores de la persona usuaria [Anexo 11. 


El servidor web principal tenía en nuestro primer análisis la dirección IP 170.246.114.222 
que pertenece a la empresa colombiana Media Commerce Partners S.A. ubicada en Pereira. 
Al día de esta publicación tiene la dirección IP 190.145.219.66 que pertenece a la empresa 
colombiana Telmex Colombia S.A. 

Sin embargo, el analisis nos permite afirmar que los datos personales del formulario no 
son transmitidos a una entidad del estado, ni a estas empresa, sino al dominio “amplitude. 
com” de la empresa Amplitude ubicada en Estados Unidos [Anexo 1]. Este dominio está 
vinculado con la empresa 1Doc3, también presente en la página. Amplitude contrató un 
servicio de hosting a Amazon Technologies, en Estados Unidos [Anexo 21. 

Ninguno de estas empresas (Media Commerce Partners, Telmex, 1Doc3, Amplitude y 
Amazon technologies) que participan o han participado en el tratamiento de los datos se 
mencionan en la política de privacidad. 

Recomendación: Cómo se explicó en la parte 1, la política de protección de datos debe 
reconocer este modelo de flujo de los datos personales puesto que indica que es una de 
estas empresas la encargada de tratamiento de datos y estas sub-contrataciones implican 
transferencia de datos personales a Estados Unidos lo que de acuerdo con la política 
tiene condiciones preestablecidas, aunque -cómo se explicó en la parte 1- éstas están 
pobremente descritas en las políticas de privacidad. 


Cifrado y autenticación El portal usa de forma predeterminada el protocolo seguro HTTPS (HTTP+TLS) con un certi- 
ficado de la empresa Go Daddy Inc. 


Envío de los datos de Los datos de autodiagnóstico transmitidos por los formularios se envían con el protocolo 

autodiagnóstico HTTPS y el método POST. Se transmiten únicamente a la URL “https://api.amplitude.com/”, 
esta misma es llamada por el dominio “1doc3.com”. Esto se debe a que todo el cuestiona- 
rio de auto-diagnóstico es un elemento HTML externo al sitio original (iframe HTML) con 
dominio “1doc3.com”. Por lo cual pensamos que el encargado de tratamiento de los datos 
recolectados por este formulario es la empresa 1doc3, y que fue ésta última la que contrató 
con la empresa Amplitude que es la que recibe los datos a través de su dominio “amplitude. 
com”. [Ver Anexos 1 y 2] 
Recomendación: igual que para la parte Hosting y en línea con lo descrito en la parte 1 de 
este informe. 


Tecnologías usadas y El servidor web es un servidor con Microsoft Sharepoint con el framework Bootstrap [ver 

actualizaciones Anexo 3]. El análisis de las cookies internas muestra que muy probablemente se usa un 
balance de carga de tipo “F5 BIG-IP ASM” versión 11.4.0 o posterior [Ver Anexos 4 y 71. 
Recomendación: Es importante asegurarse de la actualización del servidor web y de todos 
sus componentes. 
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Protecciones adicionales Recomendación: Se recomienda implementar protecciones adicionales, siguiendo 
los lineamientos de seguridad digital del MinTIC para los sitios web”, en particular las 
siguientes, ya que nuestro análisis mostró que no estan implementadas: 

Cookies: habilitar los atributos de seguridad Secure y HttpOnly, en particular para la 
cookie “TSO1bee912” que parece tener funcionalidades de seguridad vinculadas con el 
balance de carga; 

habilitar las cabeceras de seguridad”. 


Rastreo y cookies de terceros | En la página de auto-diagnóstico, además de las cookies internas, se instalan varias coo- 
kies asociadas a los dominios: 1doc3.com, facebook.com y al servicio Google Analytics. La 
cookie de Facebook esta originada por el dominio “1doc3.com”. 

También se puede mencionar un hecho extraño probablemente debido a un error técnico: 
se instalaban varias cookies internas vacias (problema técnico que parece haber sido re- 
suelto). Finalmente, el elemento HTML del dominio “1doc3.com” (iframe) también genera 
solicitudes con transmisiones de identificadores hacia la sucursal publicitaria de Google, a 
través de su dominio “doubleclick.net” [ver Anexo 41. 

Recomendación: es importante evaluar la consecuencia de que se instalen cookies a las 
personas usuarias del sitio sobre todo en términos de rastreo publicitario. El Coronavirus 
en Colombia es un sitio del Estado que recoge información sensible y que parece tuvo cui- 
dado de no crear espacios para la instalación de cookies de terceros, sin embargo, debido 
al uso de la herramienta de la empresa 1doc3 se termina instalando una cookie de Face- 
book. En caso de que esto no pueda evitarse se debería informar a las personas usuarias. 





16 A MiÓA mínimas técnicas y de seguridad digital del MinTIC (Anexo 3 de la Resolución MinTIC 1519 del 
2020). 
17 Los lineamientos del MinTIC ya mencionados citan las siguientes: Content-Security-Policy (CSP), X-Content- 
Type-Options, X-Frame-Options, X-XSS-Protection, Strict-Transport-Security (HSTS), Public-Key-Pins (HPKP) 
8 Referrer-Policy, Feature- Policy. 
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3. Tabla sintética de los formularios de CoronApp web (registro, login, 
reporte) 


Categoría Descripción 





URL https://coronaviruscolombia.gov.co/Covid19/coronApp/resistro-coronApp.html 


Datos recolectados Para el registro: nombre, apellidos, tipo y número de documento, número de celular, 
correo electrónico, contraseña. 
Para el reporte: tipo de síntomas, otros riesgos (contactos, viajes, trabajadores de sa- 
lud), atención médica recibida o no, detalles sobre los síntomas. Incluye por lo tanto 
datos sensibles de salud. 
Para la conexión a CoronApp web: correo electrónico y contraseña. 
Para la obtención del código OR de viaje: fecha del vuelo, tipo de vuelo, aerolínea, 
número de vuelo, número de silla. 

[Ver Anexo 5] 


Isual que en la parte 2, el servidor web principal tenía en nuestro primer analisis la direc- 
ción IP 170.246.114.222 que pertenece a la empresa colombiana Media Commerce Partners 
S.A. ubicada en Pereira. Al día de esta publicación tiene la dirección IP 190.145.219.66 que 
pertenece a la empresa colombiana Telmex Colombia S.A. 

Como en el caso de la aplicación CoronApp que analizamos anteriormente, tanto los da- 
tos personales de los formularios de registro, como los datos de reportes de síntomas 
se envían al dominio “apicovid2.and.gov.co” de la Agencia Nacional Digital. Los servido- 
res web son de Amazon Technologies y están ubicados en Estados Unidos (direcciones IP: 
3.225.120.50, 3.229.237.212 y 52.54.29.154) [Ver Anexo 51. 

Ninguna de estas empresa intermediarias se mencionan en la política de privacidad. 
Recomendación: Cómo se explicó en la parte 1, se debería mencionar en la política de 
protección de datos (tanto en la política general cómo en la política específica de Co- 
ronApp_Colombia) la forma como se ha previsto el tratamiento de los datos que incluye 
terceros que aloja los datos en el exterior. Consideramos que este diseño supone que es 
una de estas empresas la que está encargada del tratamiento de datos y estas sub-con- 
trataciones implican, como ya vimos, transferencia de datos personales a Estados Unidos. 


Cifrado y autenticación El portal usa de forma predeterminada el protocolo seguro HTTPS (HTTP+TLS) con certifica- 
dos validos de la empresa Go Daddy Inc. 


Envío de los datos personales | Los datos transmitidos por los tres formularios (registro, conexión y reporte) se envían 
con el protocolo HTTPS y el método POST. Además se autentica la conexión con un token, 
hacia el servidor “apicovid2.and.gov.co” y los datos sensibles del cuestionario de reporte 
de salud, se envían en una forma codificada o cifrada [Ver Anexo 5]. Se confirma por ende 
que se trabajó para subsanar algunas de las vulnerabilidades que Fundación Karisma había 
identificado en su primer análisis de CoronApp_Colombia. 





Tecnologías usadas El servidor web es un servidor Kestrel que usa el framework Microsoft ASP.NET. El servidor 
y actualizaciones no deja ver, con un análisis pasivo, las versiones de sus componentes, lo que es bueno 
desde la mirada de seguridad digital. El análisis de las cookies internas muestra que muy 
probablemente se usa un balance de carga de tipo “F5 BIG-IP ASM” versión 11.4.0 o poste- 
rior [Ver Anexos 4 y 71. 
Recomendación: Es importante asegurarse de la actualización del servidor web y de todos 
sus componentes. 
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Protecciones adicionales Recomendación: Se recomienda implementar protecciones adicionales, siguiendo los li- 


neamientos de seguridad digital del MinTIC para los sitios web18, en particular las siguien- 
tes, ya que nuestro analisis mostró que no están implementadas: 

Cookies: habilitar atributos de seguridad como Secure y HttpOnly, en particular para la coo- 
kie “TSO1bee912” que parece tener funcionalidades de seguridad vinculadas con el balance 
de carga; 

1. Habilitar las cabeceras de seguridad”. 


Verificación de correo y fuga |Cuando una persona se registra para usar CoronApp_Colombia, recibe un correo de verifi- 
de datos hacia Google y cación donde se le pide hacer clic sobre “Confirmar Correo”. Al hacer clic sobre este botón, 
ProjectileslO se envía un token de verificación y el correo de la persona se transmite en los parámetros 


de la URL (método GET). La consecuencia de esta mala práctica es una fuga del token (que 
afortunadamente sólo funciona una vez) y del correo electrónico hacia los dominios de 
los terceros “google.com” y “countriesnow.space”?” Este efecto, que hemos ya mostrado en 
análisis anteriores de otros sitios del Estado, es una de las razones por las cuales no es 
recomendable transmitir datos sensibles de esta manera. Esta practica está prohibida por 
los lineamientos de seguridad digital del MinTIC para los sitios web?[Ver Anexo 61. 
Recomendación: dejar de transmitir el correo electrónico en parámetros de la URL para 
evitar esta fuga de datos a terceros no autorizados. Evaluar el uso de scripts de terceros 
en la página web de CoronApp_Colombia. 


Rastreo y cookies de tercero |En esta página, se instalan dos cookies de terceros por Google. Esto se deriva del uso del 
servicio Google Recaptcha (“_GRECAPTCHA”) y del dominio “countriesnow.space”. Ambas 
tienen características de cookies de rastreo aunque la segunda tiene finalidades técnicas 
vinculadas con el hosting del servidor web del dominio en CloudFlare [Ver Anexo 71. 

Para la primera, teniendo en cuenta la eficiencia de este servicio en términos de seguridad, 
se puede entender la decisión de implementarlo, a pesar del rastreo generado por su uso. 


18 


19 


20 


21 





Ria mínimas técnicas y de seguridad digital del MinTIC (Anexo 3 de la Resolución MinTIC 1519 del 
2020). 

Los lineamientos del MinTIC ya mencionados citan las siguientes: Content-Security-Policy (CSP), X-Content- 
Type-Options, X-Frame-Options, X-XSS-Protection, Strict- Transport-Security (HSTS), Public-Key-Pins (HPKP) Referrer-Poli- 
cy, Feature- Policy. % o a 

“countriesnow.space” es un dominio registrado por la organización ProjectilesliO y el desarollador 


Martins Onuoha en Nigeria. El sitio web provee informaciones de localización y generales de los paises a 


través de un archivo JSON, https://countriesnow.space/ y https: //documenter.getpostman.com/view/1134062/ 
T1LJ¡U52?version=latest . 


Revisar la condición de seguridad n.?2 4 (“no enviar parámetros sensibles a través del método get”) de las 
Condiciones mínimas técnicas y de seguridad digital del MinTIC (Anexo 3 de la Resolución MinTIC 1519 del 2020). 
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ANEXOS - Referencias técnicas 
[1] Datos recolectados y enviados en el auto-diagnóstico 


Aquí se presentan el formulario de auto-diagnóstico y el correspondiente paquete HTTP(S) que transmite 
los datos. 


Formulario web Extracto de la captura HTTP(S) 
https://coronaviruscolombia.gov.co/Covid19 correspondiente 


auto-diagnostico.html (transmisión de estos datos) 


https: //api.amplitude.com/ 
POST / HTTP/1.1 


Análisis de síntomas COVID-19 , ] 
Te haremos unas preguntas para determinar tu riesgo de coronavirus(COVID-19) Host: apl. ampl 1itude.com 


Led 
¿Has estado en contacto estrecho (cercano), sin usar elementos de protección, por más de 
15 minutos con una persona con diagnóstico confirmado de COVID-19? o ¿has estado 
compartiendo el mismo lugar por más de 120 minutos con una persona con diagnóstico 
confirmado de COVID-19? 


Content-Length: 1038 
Si 


Q no 


¿Has presentado alguno de estos síntomas recientemente (en los últimos 14 días)? 


Origin: https://www.ldoc3.com 
Connection: keep-alive 
client=6b2c935524decidó6la8763da80 
alavdadcke=|[( "device 1d" :"/cadbadrl= 
Dificultad para respirar Fatiga o decaimiento 4a69-411d-aldb5-1b06fd838f£54","user_ 
id":"7f40bdf1-4a69-411d-a4b5-1b06fd838 
£f54","timestamp":1612670121469,"event . 
Disminución del sentido del olfato La", cossión 10": L6Le6090 130027, event. 
type": "Coronavirus testíinished", "version 


Ninguno Continuar 
Sa Coti name "“o¿nbl ly "Patrona": "Ne", "08 


AmO “E PHELECGÍIOS "sos 


Fiebre de 38"C o más Tos t 


Dolor de garganta Disminución del sentido del gusto OQ 


Ve PSLoOoDm "SS" aer cs, 


model": "Linax","language”: "“en- 
Us" y “apa Properties "<1)gs event prop 
ertaics"+i"eceateogory "+ "Alli", "labels" 
Test finished","userCondition":"Tos, 
Disminución del sentido del gusto","userR 
iskContact":"No","userDrowned":"No")],”“us 
er properties" uuLd". CODO /e=o1e= 
4ad0-8f11-3b7dcc8c3234”,“library”:f“name 
"e "“ampiaitude=8", "VO ÉSIOn"> 2 load 186 V= 
Zgupload time=1612670121476£checksum=aZ26 
adbbc29aal5b45b0f3ede97d9677ae 





1 


FF>+%*+a+ 


FEFEZF< AF < AH 
JU >E>¿+H> 


12 





En el formulario se recolectan los datos correspondiente al contacto eventual con una persona infectada con 
COVID-19 y a los síntomas (en el caso de nuestra prueba, Tos y Disminución del sentido del gusto). El extracto 
de captura HTTP(S) muestra que se transmiten vía el protocolo seguro HTTPS (con el método POST). 


El destinatario de estos datos es el sub-dominio “ap!l.amplitude.com” que pertenece a la empresa 
Amplitude que provee servicios de analítica de datos y está ubicada en Estados Unidos”. Esto se explica 
en el anexo siguiente. 


También se puede observar que los datos transmitidos en el paquete y relacionados con el formulario 
("Test finished”, "userCondition":"Tos, Disminución del sentido del gusto""userRiskContact":"No""userDr 
owned":"No") están asociados a varios identificadores de las personas que usan los servicios (device_id, 
user_id y uuid) y a características detalladas del equipo, del sistema operativo y del navegador (lo que 
puede servir para hacer un cálculo de huella o fingerprint del dispositivo e identificarlo de esta forma). 


22 https://amplitude.com 
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[2] De la Presidencia hacia “1doc3” y “amplitude.com” 


La empresa “1Doc3” y su dominio asociado “1doc3.com” aparece directamente en el sitio web cuando, 
después de llenar el formulario de auto-diagnóstico, se hace clic en “Conocer más": 


A VA coronaviruscolombia.gov.co | 90% 


'ONAGAO Inicio Acciones del Gobierno + 





¿Preocupado por el coronavirus? Todo | 


1DOC3 


ENFERMEDAD 


Infección por Coronavirus 


También conocido como: 


COVID, Corona virus, COVID-19, COVID19, Coronavirus. 


E Definición 


Los coronavirus, forman parte de una amplia familia de virus que pueden causar di- 
versas enfermedades en el ser humano, desde el resfriado común hasta el desarrollo 


Además, en el código HTML de la página de auto-diagnóstico, se puede observar que el cuestionario es 
un iframe (un elemento HTML que permite insertar un documento HTML externo) de “1doc3.com”: 


Yá Ne -á E= 68 AZ? Úí 1 €8 WLLI 1 1 KNCe ÁPKAc 4 Li EALAcécá-1461681É8611ác| 
-MácieZzie1 E?= Ñeé a EAc é CÉ8 Z? M) = ¿A6caiñrá43O0Z?ó6É8?= cááir=CZ?ciád 
á4cá-a4CO-CE6dÉa e -á e Ke Es ¿0 Éf Ne -á EE Uáe F?= í414ÉEZ?0É-4á40-= ls 


-1106=Cá4-04c0 61 ¿Ác=CÉG=" 1 sfaJ NV? [ YLáNé-á Él 


Es decir que es como si la URL real del cuestionario fuera “Úí í éé WLLí 1 í KNCc ÁPKAc 4 Li EAL 
ÁAcécártágl ei Égi”. 

Esto se puede observar también en las capturas HTTP(S) que se analizaron, por ejemplo ésta que es la 
primera originada desde la página: 


https: //www.1doc3.com/web/coronavirustest?no actions=true 


dbq=Li EALAcécá-1á6161É811ác| Al áca8Zí ei E=eqqmLNKN 

ecé1 Wi 11 KNCe ÁPKÁAc á 

x KKKz 

Referer: https://coronaviruscolombia.gov.co/Covid19/auto-diagnostico. 
html 


La conexión con “amplitude.com” se hace cuando hay una solicitud originada por “Idoc3.com” (ver 
Referer) hacia el siguiente recurso javascript: 
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https: //d24n15hnbwhuhn.cloudfront.net/libs/amplitude-2.1.0-min.3s 


dbq=LiáAéL-a4é4411 CÉJ OKNKM 4á4áKaé=e q qmLNKN 

ec 8 1 W=COQá NRÚA Ar Úl Ua KÁ4 ci CÑECáAl Ká Él 

réeEeJOE4i W  ¡coádái-LRKMW  FEuNNX=  ¡ááiñ=  .ñUS|SOX= €iWRSKMF= 
d EAA € LOVNMVNMN=<C á é ENC ñ LRSKMet —í Eé Ne ÁLRSKP 

ARAÉF6 1 W=GLG 

AAAÉ€ 1 Ji -401 >OÉW=ÉáJ r pl Éá Xe ZMXR 

AMAAÉ€í Jbá Ac Cá 4 O0W=00 á4 él =CÉÑA -í El =A€ 

Referer: https://www.1ldoc3.com/web/coronavirustestlác| Al á4cá48Zi61É 
'"cá434ÉA ¿cai WaÉÉEEJ-áái É 


En el código fuente de este script, se puede observar que se origina en seguida la conexión con una API 
de “amplitude.com”, en el endpoint “api.amplitude,com”: 


=64b4CEcAAi W-éáKeaiéiáii CÉKACAa? 


Desde la ejecución de esta función javascript (amplitude-2.1.0-min.js) se originan varias 
solicitudes hacia “api.amplitude.com”, entre ellas la que se muestra en el anexo 1 y que transmite los 
datos a la empresa Amplitude. 
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[3] Tecnologias usadas 
El hecho de que el servidor web sea un servidor Microsoft Share Point se puede observar en ciertas 
respuestas HTTP del servidor: 


El uso del framework de código abierto Bootstrap, junto con ciertas herramientas, se puede observar 
por ejemplo con la herramienta Wappalyzer23 o directamente en el código fuente HTML de la página: 






Autodiagnostico COVID-19 - Waterfox Classic bBrRBr Dos 







Preferences Y % AutodiagnosticoCOV x Why 






) A https://coronaviruscolombia.gov.co/Co 


yevdo = 


C 119 Searci 
s Linea de Atención para celular 192 | Ver todas las lineas de atención ) 
Wappalyzer o% 


(3 CONAOO) Inicio Acciones del Gobierno w Mitos y Pr 





CMS Tag managers 
> Microsoft SharePoint () Google Tag Manager 


Analytics JavaScript libraries 


¿ 7 a NE (Sd 





. , . [, Google Analytics «il Modernizr 
Autodiagnostico C sa 
JavaScript frameworks 
GSAP Ul frameworks 
9 Bootstrap 
Font scripts 
Google Font API 
Análisis de síntomas COVID-19 Lead generation - CRM integration + API 


Te haremos unas preguntas para determinar tu riesgo de CoroNd rruayue rmx 


¿Has estado en contacto estrecho (cercano), sin usar elementos de protección, por más de 
15 minutos con una persona con diagnóstico confirmado de COVID-19? o ¿has estado 
compartiendo el mismo lugar por más de 120 minutos con una persona con diagnóstico 
confirmado de COVID-197 


Si 


eS WO INCA DD |s 


Na 


Yiá349=86 É4Z?681 64 É8 UEE1 ?=U8 ÉNZ? AG 6 L1 ÉáCoéLbootstrap.min.css?L| = 


23 https://www.wappalvzer.com 15 
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[4] Cookies instaladas en la página de auto-diagnóstico y otro rastreo 


Aquí se pueden observar las cookies instaladas (en el análisis de febrero 2021): 


Domain Name Content Expires HTTP Only Secure 
O 4doc3.com —qat 4 Gdefebrerode202122:56:24G— No No 
[] ,1doc3.com ajs anonymous id %22ae26385b-e980-4594-821b-8f6ecff0ele7%22 6 de febrero de 2022 22:50:43 G... No No 
[] ,1doc3.com amplitude ididoc3.com  eyJkZXZpY2VJZCIólidmNDBIZGYxLTRANjktN... 4de febrero de 2031 22:50:42 G.... No No 
[] .facebook.com Fr OBUO3NkyRCrVgwxEl..BgH20R...1.0.8gH20R. 7 de mayo de 2021 22:50:41 GMT-5 Yes Yes 
L] .1doc3.com _gid GA1.2.2125541057.1612669841 7 de febrero de 2021 22:50:41 G.... No No 
[] ,1doc3.com _da GA1.2.1470474299.1612669841 6 de febrero de 2023 22:50:41 G.... No No 
[] ,1doc3.com ajs group id null 6 de febrero de 2022 22:50:37 G... No No 
L] .1doc3.com ajs user id null 6 de febrero de 2022 22:50:37 G.... No No 
L] .1doc3.com undoctres didvucdjpeecakopohuu3iuepkrf3pbe 7 de abril de 2021 22:50:30GMT-5 Yes Yes 
|] coronaviruscolombia-gov-co -gatgtag UA 16660818 39 4 6defebraro de 2091 399:54:-3056__ Hg Ho 
[] .coronaviruscolombia.gov.co _gid GA1.3.1290119201.1612669830 7 de febrero de 2021 22:50:29 G... No No 
[ ] .coronaviruscolombia.gov.co _ga GA1.3.350195024,1612669830 6 de febrero de 2023 22:50:29 G.... No No 
[] coronaviruscolombia.gov.co Atend of session Yes No 
[] coronaviruscolombia.gov.co Atend of session Yes No 
[] coronaviruscolombia.gov.co Atend of session Yes No 
[ ] coronaviruscolombia.gov.co Atend of session Yes No 
[L] coronaviruscolombia.gov.co Atend of session Yes No 
[] coronaviruscolombia.gov.co Atend of session Yes No 
[] coronaviruscolombia.gov.co TS01bee912 0120c7c117ef63d1725e8264048024a9b17face... Atend of session No No 





coronaviruscolombia.gov.co Atend of session 


Las cookies con nombre “_ga” y “_sid” son asociadas al servicio Google Analytics y sirven para distinguir 

y rastrear a la persona usuaria24 tanto para el servicio de Google Analytics como para usos publicitarios 

ulteriores. 

Varias de estas cookies tienen características de cookies de rastreo (contienen un identificador, tienen 

una duración de larga vida, la empresa asociada puede hacer rastreo publicitario): 

« cookie “fr” del dominio “facebook.com” ; 

* cookies“ ga” y“_sid” del servicio Google Analytics, asociadas a los dominios “coronavirus.com” y al 
dominio “1doc3.com”; 

* cookies “ajs_anonymous_id”, “amplitude_id1doc3.com” y “undoctres”. Se puede observar el nombre 
de la primera que contiene “anonymous” y de la segunda que contiene “amplitude”, así haciendo 
otra conexión con la empresa Amplitude. También se puede notar su duración de vida record: ¡hasta 


el 4 de febrero del 2031! 
También se puede observar la instalación de varias “cookies vacías” (sin nombre ni contenido) con 
dominio “coronaviruscolombia.com”. Es bastante raro e incluso pensamos en un error en nuestra 
herramienta de análisis de cookies (Cookie Manager +) pero el análisis de los paquetes HTTP confirma 
su instalación a través de varias instrucciones Set-Cookies, cómo ésta: 
pÉEiJ"” ecciáEWXeeíiéláiió 


Probablemente era un error técnico. En la verificación más reciente ya no aparecen estas cookies. 


16 24 https://developers.eoogle.com/analytics/deveuides/collection/analyticsi¡s/cookie-usage 
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Finalmente, así no se instalen cookies, se observaron varias solicitudes hacia el dominio publicitario de 
Google “doubleclick.net”, transmitiendo varios identificadores en los parámetros de la URL (entre ellos 
la cookie de Google Analytics): 


https://stats.g.doubleclick.netLaLAciáiEAi1í ZCAC-46é ZNC| 
é ZP Ci ZNC| 1 Za UTCÍi áCZr *J QUTMIVPNJ NCÁá CZNOTMOTQOVVKNS NOS S VU 
QNCa á CZROS MNNRNMCÓa á CZNTTNQMPUMSC_gid=2125541057.1612669841C| 
1Z-d 2%b”*"'n***%**”* úCoZPTPVVPOPM 


ml pq= LáaLAcaá EA 1 í ZCÁC=4é ZNC| € ZPCi ZNC| 1 Za UTC 4 CZr *J QUIMIVPN 
NCAÁá CZNOTMOTQOVVKNS NOS S VUONCa á CZROS MNNRNMCÓa á CZNTTNOQMP UMS C| 
04 CZONORRONMRTKNS NOS S VUONC| 1 Z-d_2%b”*'n22%%%' úCoZPTPVVPOP M= 
e qqmLNKN 

ecgí Wé8 1 -í 8 KÓKCci AG EÁGá ÁS Ka Él 

x KKKz 

Referer: https://www.ldoc3.com/web/coronavirustest?no actions=true 
"cáiÉE3iJqócé E Wi Éñi Léi-áá 

' gá1 Eaáí Ji Ea Oí UWeM 

184044 WeÚí 1 és WLLi 1 1 KNCe ÁPKÁAc á 

"ca EA ácaiWaÉÉEJ-á¿ái É 


El Referer muestra que fue originado por el dominio “Idoc3.com”. 


Nota: las cookies en rojo son cookies que han sido instaladas y borradas durante el análisis. 
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[5] Envio de datos en los formularios de registro, login y reporte 


Solicitud HTTP(S) de envio de datos 
ttps: apicovid2.and.gov.co/ap1/v2.U 






























authentication/register 
Nombre * Apellidos * 


Fundacion Karisma 


POST= L-é4L? OKM -1 í UEAi ¿Ai ácáL 
Tipo de documento Número de documento * é ÉOA 61 ÉS =e q q mL NKN 

Cédula de Ciudadanía *| 1234567890 ec Si We-éá Ác na COK-4 CKÓOS 2 KÁc 
Número de celular xXf£z 

+57 y 3505943410 : oENÑÉ8 És We Úi í € WLL 
Correo elex ÁAcécártácelritAcicaiaAái-KOci KÁc L 
test4Gkarisma.org.co '"¿1TáCNVLAcE 4 ”éELeEÉO46 1éc)J 
Ingresa una contraseña * Ag 6 G ancé KÚi ad 

OS Acáí FaiJióéÉWeec3áGAi ácálagca 
E7Acepto los términos de uso de CoronApp, para contribuir a S E á Oá á We Ñ Ñ Úl Í é C MEL 
arme Pprpeneón del Gobierno Colombiano, Ác é C 3-14616 Ác á C 4 Aá =KOc 1 KÁc 

Consulte la política de tratamiento de la información de : C al Éá 1J1 Éá Ól UWTNP 

CoronApp. , rr r 

'“CAñÉA ácá WaÉkbeJ-áá1 É 

6?CcAi14Éa31]| 166É?Wcc?1?CcAiaÉá4í| 
414 AÉ8?W1234567890?1?Ná4861 4-4É? W 
Fundacion?!?ái-¿14-4É?Wh-8484-71? 
Éi-44?W test4fkarisma.org.co?l?é-$61 
cé6 CC? WXXXXXX?1?6Uc4ÉE?Wuuuuu?I ?é U 
cáÉEl] -8 É-| ÁcCÉ? WRT?I1?8 ÉAX-6í AUÚ-] 
aÉá4? W? MPdC_ e€0StucCcl] 
ae Aa AaUetjihox£z?0 


Y 'm not a robot 


Registrarme 


Sr e 


1 
Na 


Nota: En la solicitud real los “XXXXXX” (del 





2.0 
CoronaApp authentication/login 


POST= L-é4L? OKM -1 í UEA1 ¿Ai ácáL 
ác04á4=e q q mLNKN 

ecgí W-é4Ac1 á COK-á CKOc 1 KÁc 

X£Z 

"caí Esí Ji ESO UWeRT 


Email 


test4(akarisma.org.co 


Contraseña 


960000000000 A oo + "> o abr . Y 
cad EA ácá WaEEEJ-áál E 
¿Olvidaste tu contraseña? 6? É4-44?W? test á karisma. 
co?1?é-661 (€C? WXXXXXX? 0 


Nota: En la solicitud real los “XXXXXX” (del 


password) no eran ofuscados. 
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ttps: apicovid2.anad.gov.co/diagnosis 
Selecciona los sintomas que presentas: 


api/v2.0/question 
Fiebre 
deis POST= LCá-04 848 L-64L1 OKM ¿1 Ééiágá 
Congestión nasal E qqmk , 
ecgí W-é¿4Ac1 á COK-á CKOc 1 KÁc 
Eg Tos x KKKz 
Dificultad para respirar oÉÑÉe Éée We Ú 1 eé WLL 
Fatiga Ácécái=rtáceicAÁcicaiaAi-KOc1? KÁc L 
Escalofrío "c1TÁCNVLAcécáééLCá4-O0dce1áAeJ 
A SALA DAS 
Dolor de músculos Acégá Peal id 
" (aí Eaí JqóéEW- ¿Edd Ad ácáL 


Minguno de los anteriores 


¿6c Ahi Haécá X=AU-6 6 É1 Zi í NU 


Authorization: Bearer= Éógé-t nál ágk-0 


cjreséstsecqo0ieCdosváiOÓMs áajóAr ÁNRho 





Elige las opciones que apliquen en tu caso: ] OoPaProbir p aá0o-=r VNAt r Mmp fefácée 
' Of Sx£ Kz 
Estuve en contacto con alguien que tuvo alguno de esos sintomas , a 
" cal Eaí Ji Eá OÍ UW-URR 
Hice un viaje internacional en los últimos 30 días ia de 
l840¿4a W U 1 éé VLL 
"Hice un viaje nacional en los últimos 30 días A A ie E 
ES AÁcécá-r1á61 6 Ácáca A4-KO21 KÁc 
Soy trabajador de la salud “e 2AÉA 404 Wá ÉFéJ-441 É 
Ninguna de los anteriores 0? NÉAU-=? W NS LVODLOMIN= 





NRMNUVWQS? 1 ? diagnostico? W 


? NSRPUVNÑRJ NSNAJ QTÑOJ — TÑRJ 

OMAÉCMRPOSOC?1?id usuario? W SMÁOS 

Selecciona los sintomas que presentas: NQANNT APMMVNQINNTÑ? 1 2 preguntas<W 

(Fiebre mayor a 37,5* ó+áC<WÁV-SMRSM VTÁOJ QTC-J] VÉTM 

Tos reciente o una tos que empeora PMA-OVAVU=QG<I <eES61 En ; AMO 

_ x+QRMCEN?M AVOM QNVOJ AEUNJ 
MAMAON-ÉTPSN<I <-PÉPCUÉNJ 


¡Leve dificultad para respirar 


Dificultad para ponerse de pie VUÉOQ) QOUTJ UMÁCJ 
Mareo -NSPPUNTNÉM IZ 61 6+á C<WACAAUÁAVOJ 
Pérdida del gusto o el olfato =QIC QNMRJ VÁAASJ APACÉEVCCUÑACSI <6 E 


¿él Edi “¿<WK=+-V=PSÉPTJ MÁOCJ QTTSJ 

UÑÉÉJ MÉTSMIUNVMÁU<z 01 

XEZ 

Continuar | Wx + ÑQÁ- MUÁRJ ÁCCVJQOAÁAOJ U-TNJ 
SPQÉM-PVÁAP==<z0z0 


Diarrea 


Ninguno de los anteriores 





(*) Aquí se ponen sólo una parte de las series de 
preguntas (hay 3 más) 
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Datos del viaje 
Fecha de vuelo Tipo de vuelo 
12-85-2021 Q Internacional 


Aerolinea 


Wiva Alr 


Múmero de vuelo 


vH301 54] 


Continuar 





ttps: apicovid2.and.gov.co/diagnosis 
api/vl.0/travel/createtravelrecord 


POST /diagnosis/api/vl.0/travel/ 
createtravelrecord HTTP/1.1 

ecégí W-é¿4Ac1 á COK-á CKOc 1 KÁc 

ré ÉsJ00É31 We jcvoá444-LRKM 
EuNNX= iááiñ= ñUS| SQX= 61 WRSKMVE 
d ÉÁA € LOVNMVNMN=c á é ENS ñ LRSKM 

AAAÉ61 W=GLG 

AAAÉE6 1 Ji -401 -OÉWEÉáJ r pl Ea Xe ZVSR 

AAAÉ€ 1 Jbá Ac Cáá3OW O04él = CÉÑi-1 Él 
oÉÑÉ8 És We Úl í €¿ WLL 
ÁcécáirtáceicAcicaAá-KOc1? KÁcL 
"c1ÁCNVLAcécá¿ ééLCái-O0á4ceiáAeoJ 
Ácécá"éEKÚ 44 

"caí Edi JqóéÉ We ¿644 A ácáL 
¿ó6c Aia Haécá X=AU-6 6 Éi Zi í NU 

niUcócáoriáciWw É-eÉe6=Éógé-tnál 

x KKKKz 

'cáí Fai Ji ÉáO0í UWENTM 

184044 W 

Acécá-1461 6 Ácáica AG-KOc1 KÁc 

"(añ ÉA ácaWaÉbeJ-aiái É 
ó+iít-486éc61| ic CÉl áC<WNI<-4e64ááÉl 
áC<W<NS<I<AÁcié-46| á4-aÉ<W<<I< 
¿UÚáé<W<ese PMN<I<é É-í <W<R”"<I< 


á8g | Coca EéeiáA<WN-a4é6 Él<ié-1Éál 


C-í É<W<OMONJ MRJ] NO<I<c 6404 4ál 
11 4<W<I<CÉ8í á4á-/ dá 11 4 <W<0 





Se puede observar que en los tres casos los datos personales se envían con el protocolo seguro HTTPS 
y con el método POST. Para los cuestionarios de salud y riesgos frente al COVID-19, se observa la trans- 
misión de un token de autenticación (Authorization: Bearer) y las respuestas a las preguntas 
se hace en una forma codificada o cifrada (por ejemplo: "respuestas": ["450de030-b920-4192- 
be81-0b0b21lae7361","a3e3d8ef-98e4-4287-80cd-al633817fe08"]) excepto en el último for- 
mulario. Son buenas medidas desde el punto de vista de la seguridad que corrigen vulnerabilidades que 
Fundación Karisma había observado en su primer análisis de CoronApp_Colombia. 
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[6] Correo de verificación y fuga de datos hacia Google y CountriesNow 


Después de hacer el proceso de registro uno recibe este correo de confirmación de parte de la Agencia 
Nacional Digital (“soporteWand.gov.vo”). Es necesario hacer clic en el botón “Confirmar Correo” para 
validar el proceso y activar la cuenta de CoronApp_Colombia para hacer el registro y poder generar un 
código OR. 


De soportefWand.gov.co ty 5 Responder OR 
isunto Verificación de correo - Coronapp WEB 


A test4Okarisma.org.co fr 


¡Hola! 


Te enviamos este correo para continuar con tu proceso de generación de tu 
QR. 


Verifica tu correo electrónico aquí: 


Confirmar Correo 


Si no has realizado esta solicitud, por favor, ignora este mensaje. 


O, 


CoronApp 
Colombia 


No respondas este correo electrónico 


En nuestra prueba, el botón “Confirmar Correo” apuntaba a este link: 

Úi 1 ¿¿ WLLÁcécái-14téi6 Acicadá-KOci KÁcL' ciáCNVLAceca”ééLeÉO4é1éc) 
Acécá”¿éKUÚ áál token=16022021fd377eca8a8f4d64afaca6bdda4f6e683Cemail=test434 
Okarisma.org.co 


El link tiene entre sus parámetros un token junto con la dirección de correo”. Al hacer clic en este link, 
estos datos se van a transmitir al servidor web con el método GET. Es una mala práctica desde el punto 
de vista de la seguridad digital y en este caso, la consecuencia es que estos datos se transmiten a dos 
dominios externos (presentes en la página web de llegada) vía la cabecera Referer: “google.com” (pre- 
sente en la página por el uso de su servicio RECPATCHA) y “countriesnow.space”. 


Esto se puede observar en los siguientes paquetes HTTP(S) hacia estos dos dominios: 


25 “%40” corresponde al carácter “0” en codificación ASCIH/HTML. 21 
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https: //www.google.com/recaptcha/api.js1cááic-CZecááic-=C ¿di AcAAGCceÉGC 
EsZÉncadAdi 


dbq= Le EA-éí1 AU-L-é4Kaélcá3ádir=CZeáic=CO ¿dG A-A4Ce Ea CEe ZEñé ad Aáí = 
e qqmLNKN 

x KKKz 

Referer:= Ú 166 WLLÁCceéca¿-1ágé16 AcáicaiAá-KOc1 KÁcL" c1 áCNVLÁcécá ééL 


eEÉO0¿4861é6cJ Ácécái ééKÚ á4ál token=16022021fd377eca8a8f4d64afacabddalf6e6 
83Cemail=test4%40karisma.org.co 

"eccaáEW | dob' “nq' e. ZMWW"doPiokMáT avi-óSpñOc Oaá NR] ¡er C-cs)J 
dEnwEh oiióSweió0TM ¿q T-1f' qNQm P"OSdanmáSqwr uifJñ"a 
'"cá434ÉA ¿cai WaÉÉEJ-á4ái É 


https://countriesnow.space/api/v0.l1/countries/codes 


dbq=L-é4L1? MKNLAs 1 41 64 É6 LÁC CÉE =e q q mLNKN 

ecéi WAciá4íté4Éé64ci Ke é-ÁÉ 

x KKKz 

Referer:= Ú 1686 WLLÁcéca¿-1á4616 AcáicaiAá-KOc1? KÁcL" c1 áCNVLÁcécá ééL 
eE0481 ec Ácécái” ééKUÚ aál token=16022021fd377eca8a8f4d64afaca6ddalf6e6 
83Cemail=test4%40karisma.org.co 

184044 WU ¡ éE WLLAcécá-1á61 6 Ácicai Ai-KOc1 KÁc 

'"cá434ÉA ¿cai WaÉÉEJ-á4ái É 

£ÑNJkcá4EJj -í AÁUW=t L?PP-VJ-Aá4 bTAhábOih”4á Ai ÁUmHoi ábPi ? 
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[7] Cookies instaladas durante y después del registro a CoronApp_Colombia Web 


Durante el registro a la Coronapp_Colombia se instalan estas dos cookies: 


Domain Name Content Expires HTTP Only 
L] .google.com _GRECAPTCHA O9AGR3LZNOEx7Bj9lay6Sx2F2Dnf5 wHUdaoV-GePZeKB... 15de agosto de 2021 15:10:59 G... Yes 





coronaviruscolombia.gov.co TSO1bee912 0120c7c117ca94b77dbbcd8ecc75bf8435e647bF3653d265... Atend of session 


La primera cookie (“_GRECAPTCHA”), con dominio “google.com” contiene un número de identificación (a 
priori en Base64) y tiene un fecha de expiración de un año, que es mucho más de lo necesario para su 
finalidad inicial (protección contra los robots durante la sesión). Tiene las características de una cookie 
de rastreo y puede ser usada por Google con este fin, más allá de la finalidad de seguridad. 


La segunda cookie, interna, (“TSO1bee912”) es una cookie de sesión y por lo tanto no implica rastreo. 
Tiene las características de las cookies de un servidor de balanceo de carga (load balancing) de tipo “F5 
BIG-IP ASM” con una versión 11.4.0 o posterior”. Esta cookie tiene finalidades de seguridad y es por lo 
tanto sensible”. Sin embargo, no tiene habilitados los atributos de seguridad HTTPOnly y Secure. Sería 
necesario hacerlo, siguiendo las recomendaciones de la empresa F5% y las recomendaciones de MinTIC 
para sitios web del Estado?. 


Además, después del proceso de verificación y de conexión, se instala otra cookie llamada “_cfduid” y 
del dominio “countriesnow.space” ya mencionado: 


6 Ei JAccaá4 EW | | ÁÑCi á CZEONUS TUNCONC-QÉQURPTOOATOS ACÉ 
TÉMVSNSNPRMSTOMX= EÉñéáéeÉE8ZqUi I= NUJj-éJON= OMMWNUMOQME djqXxX= é-í UZLX= 
CcáaráádZKAciáditcj4Éé4ci Ke é-AÉX=e11é1l446X 


Esta cookie también se debe al hosting del servidor web de este dominio en CloudFlare y tiene finalidades 
técnicas a pesar de su apariencia de cookie de rastreo”. 


26 “BIG-IP ASM 11.4.0 and later: The ASM Main cookie name structure contains eight hexadecimal characters (TSxxx0000x). The first two cha- 
racters are the revision number and the remaining six characters represent the name of the active security policy”, Fuente: https: //support. 
f5.com/csp/article/K6850 

27 https://support.f5.com/csp/article/K6850 

28 Ver aquí en el sitio del constructor para la proceso de configuración: https: //support.f5.com/csp /article/K13787 

29 Condiciones mínimas técnicas y de seguridad digital del MinTIC (Anexo 3 de la Resolución MinTIC 1519 del 2020). 

30  https://blog.cloudflare.com/deprecatine-cfduid-cookie 23 
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